# Amazon Elastic Container Service AWS 托管策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管式策略更简单。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管式策略的更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务负责维护和更新 AWS 托管式策略。您无法更改 AWS 托管式策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,AWS 还支持跨多种服务的工作职能的托管式策略。例如,**ReadOnlyAccess** AWS 托管式策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的 AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
Amazon ECS 和 Amazon ECR 提供了一些托管策略和信任关系,您可以将它们附加到用户、组、角色、Amazon EC2 实例和 Amazon ECS 任务,以实现对资源和 API 操作的不同级别的控制。您可以直接应用这些策略,或者也可以使用它们作为自行创建策略的起点。有关 Amazon ECR 托管策略的更多信息,请参阅 [Amazon ECR 托管策略](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr_managed_policies.html)。
## AmazonECS\$1FullAccess
您可以将 `AmazonECS_FullAccess` 策略附加到 IAM 身份。此策略授予对 Amazon ECS 资源的管理访问权限,并授予 IAM 身份(如用户、组或角色)访问 AWS 服务,以使用 Amazon ECS 的所有功能。使用此策略可以访问 AWS 管理控制台 中提供的所有 Amazon ECS 功能。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AmazonECS\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECS_FullAccess.html)。
## AmazonECSInfrastructureRolePolicyForVolumes
您可以将 `AmazonECSInfrastructureRolePolicyForVolumes` 托管式策略附加到您的 IAM 实体。
此策略授予 Amazon ECS 代表您进行 AWS API 调用所需的权限。您可以将此策略附加到启动 Amazon ECS 任务和服务时随卷配置提供的 IAM 角色。该角色允许 Amazon ECS 管理附加到任务的卷。有关更多信息,请参阅 [Amazon ECS 基础设施 IAM 角色](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/infrastructure_IAM_role.html)。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html)。
## AmazonEC2ContainerServiceforEC2Role
您可以将 `AmazonEC2ContainerServiceforEC2Role` 策略附加到 IAM 身份。此策略授予允许Amazon ECS容器实例代表您调用 AWS 的管理权限。有关更多信息,请参阅 [Amazon ECS 容器实例 IAM 角色](instance_IAM_role.md)。
Amazon ECS 将此策略附加到服务角色,该角色允许 Amazon ECS 代表您对 Amazon EC2 实例或外部实例执行操作。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceforEC2Role.html)。
### 注意事项
您应注意以下建议和注意事项,使用 `AmazonEC2ContainerServiceforEC2Role` 托管 IAM 策略。
+ 遵循授予最低权限的标准安全建议,您可以修改 `AmazonEC2ContainerServiceforEC2Role` 托管策略,以满足您的特定需求。如果您的使用案例不需要托管策略中授予的任何权限,请创建自定义策略并仅添加所需的权限。例如,为竞价型实例耗尽提供 `UpdateContainerInstancesState` 权限。如果您的使用案例不需要该权限,请使用自定义策略将其排除。
+ 在您的容器实例上运行的容器有权获得通过[实例元数据](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html)提供给容器实例角色的所有权限。建议您将容器实例角色中的权限限制在托管 `AmazonEC2ContainerServiceforEC2Role` 策略中提供的最低权限列表的范围内。如果您的任务中的容器需要此处未列出的其他权限,建议您为这些任务提供其自己的 IAM 角色。有关更多信息,请参阅 [Amazon ECS 任务 IAM 角色](task-iam-roles.md)。
您可以防止在 `docker0` 网桥访问提供给容器实例角色的权限。您可以在仍然允许通过在容器实例上运行以下命令 [Amazon ECS 任务 IAM 角色](task-iam-roles.md) 提供的权限的情况下执行 **iptables** 此操作。容器无法查询此规则生效的实例元数据。此命令采用原定设置 Docker 网桥配置,它不适用于使用 `host` 网络模式的容器。有关更多信息,请参阅 [网络模式](task_definition_parameters.md#network_mode)。
```
sudo yum install -y iptables-services; sudo iptables --insert DOCKER USER 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
```
您必须将此 **iptables** 规则保存到容器实例上,使其在重启后仍然可用。对于经 Amazon ECS 优化的 AMI,请使用以下命令。对于其他操作系统,请参阅该操作系统的相关文档。
+ 对于经 Amazon ECS 优化的 Amazon Linux 2 AMI:
```
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
```
+ 对于经 Amazon ECS 优化的 Amazon Linux AMI:
```
sudo service iptables save
```
## AmazonEC2ContainerServiceEventsRole
您可以将 `AmazonEC2ContainerServiceEventsRole` 策略附加到 IAM 身份。此策略授予允许 Amazon EventBridge(以前的 CloudWatch Events)代表您运行任务的权限。此策略可附加到创建计划任务时指定的 IAM 角色。有关更多信息,请参阅 [Amazon ECS EventBridge IAM 角色](CWE_IAM_role.md)。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerServiceEventsRole.html)。
## AmazonECSTaskExecutionRolePolicy
`AmazonECSTaskExecutionRolePolicy` 托管 IAM 策略授予 Amazon ECS 容器代理和 AWS Fargate 要创建的容器代理代表您调用 AWS API。此策略可添加到您的任务执行 IAM 角色中。有关更多信息,请参阅 [Amazon ECS 任务执行 IAM 角色](task_execution_IAM_role.md)。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AmazonECSTaskExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSTaskExecutionRolePolicy.html)。
## AmazonECSServiceRolePolicy
`AmazonECSServiceRolePolicy` 托管 IAM 策略使 Amazon Elastic Container Service 能够管理您的集群。可以将此策略添加到 [AWSServiceRoleForECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using-service-linked-roles-for-clusters.html#service-linked-role-permissions-clusters) 服务相关角色。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSServiceRolePolicy.html)。
## `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`
可以将 `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` 策略附加到您的 IAM 实体。此策略授予代表您管理 Amazon ECS Service Connect TLS 功能所需的对 AWS 私有证书颁发机构、Secrets Manager 和其他 AWS 服务的管理权限。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html)。
## `AWSApplicationAutoscalingECSServicePolicy`
您不能将 `AWSApplicationAutoscalingECSServicePolicy` 附加到自己的 IAM 实体。此策略附加到服务链接角色,该角色允许 Application Auto Scaling 以代表您执行操作。有关更多信息,请参阅 [Application Auto Scaling 服务相关角色](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AWSApplicationAutoscalingECSServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingECSServicePolicy.html)。
## `AWSCodeDeployRoleForECS`
您不能将 `AWSCodeDeployRoleForECS` 附加到自己的 IAM 实体。此策略附加到服务链接角色,该角色允许 CodeDeploy 代表您执行操作。有关更多信息,请参阅 *AWS CodeDeploy 用户指南*中的[为 CodeDeploy 创建服务角色](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html)。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AWSCodeDeployRoleForECS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECS.html)。
## `AWSCodeDeployRoleForECSLimited`
您不能将 `AWSCodeDeployRoleForECSLimited` 附加到自己的 IAM 实体。此策略附加到服务链接角色,该角色允许 CodeDeploy 代表您执行操作。有关更多信息,请参阅 *AWS CodeDeploy 用户指南*中的[为 CodeDeploy 创建服务角色](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-service-role.html)。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AWSCodeDeployRoleForECSLimited](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeDeployRoleForECSLimited.html)。
## `AmazonECSInfrastructureRolePolicyForLoadBalancers`
可以将 `AmazonECSInfrastructureRolePolicyForLoadBalancers` 策略附加到您的 IAM 实体。此策略授予相关权限,允许 Amazon ECS 代表您管理 Elastic Load Balancing 资源。策略包括:
+ 描述侦听器、规则、目标组和目标运行状况的只读权限
+ 在目标组中注册和取消注册目标的权限
+ 修改应用程序负载均衡器和网络负载均衡器的侦听器的权限
+ 修改应用程序负载均衡器规则的权限
这些权限让 Amazon ECS 能够在创建或更新服务时自动管理负载均衡器配置,从而确保将流量正确路由到您的容器。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForLoadBalancers.html)。
## `AmazonECSInfrastructureRolePolicyForManagedInstances`
可以将 `AmazonECSInfrastructureRolePolicyForManagedInstances` 策略附加到您的 IAM 实体。此策略授予 Amazon ECS 代表您创建和更新 ECS 托管实例的 Amazon EC2 资源所需的权限。策略包括:
+ 为托管实例创建和管理 Amazon EC2 启动模板所需的权限
+ 使用 CreateFleet 和 RunInstances 预置 Amazon EC2 实例所需的权限
+ 创建和管理由 ECS 创建的 Amazon EC2 资源上的标签所需的权限
+ 向 Amazon EC2 实例传递 IAM 角色以用于托管实例所需的权限
+ 为 Amazon EC2 竞价型实例创建服务相关角色所需的权限
+ 用于描述 Amazon EC2 资源的只读权限,包括实例、实例类型、启动模板、网络接口、可用区、安全组、子网、VPC、EC2 映像和容量预留
+ 列出 Amazon ResourceGroups 资源的只读权限,这需要获取标记资源和列出 Amazon CloudFormation 堆栈资源的底层权限
这些权限使 Amazon ECS 能够自动为您的 ECS 托管实例预置和管理 Amazon EC2 实例,从而确保对底层计算资源进行正确的配置和生命周期管理。
要查看此策略的权限,请参阅《AWS 托管式策略参考》**中的 [AmazonECSInfrastructureRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html)。
## `AmazonECSInfrastructureRolePolicyForVpcLattice`
可以将 `AmazonECSInfrastructureRolePolicyForVpcLattice` 策略附加到您的 IAM 实体。此策略提供代表您管理 Amazon ECS 工作负载中的 VPC Lattice 功能所需的对其他 AWS 服务资源的访问权限。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html)。
提供代表您管理 Amazon ECS 工作负载中的 VPC Lattice 功能所需的对其他 AWS 服务资源的访问权限。
## `AmazonECSInfrastructureRoleforExpressGatewayServices`
可以将 `AmazonECSInfrastructureRoleforExpressGatewayServices` 策略附加到您的 IAM 实体。此策略授予 Amazon ECS 代表您使用 Express Services 创建和更新 Web 应用程序所需的权限。策略包括:
+ 为 Amazon ECS Application Auto Scaling 创建服务相关角色所需的权限
+ 创建、修改和删除应用程序负载均衡器、侦听器、规则和目标组所需的权限
+ 为 ECS 管理的资源创建、修改和删除 VPC 安全组所需的权限
+ 通过 ACM 请求、管理和删除 SSL/TLS 证书所需的权限
+ 为 Amazon ECS 服务配置 Application Auto Scaling 策略和目标所需的权限
+ 为自动扩缩触发器创建和管理 CloudWatch 警报所需的权限
+ 用于描述负载均衡器、VPC 资源、证书、自动扩缩配置和 CloudWatch 警报的只读权限
这些权限使 Amazon ECS 能够自动预置和管理 Express Services Web 应用程序所需的基础设施组件,包括负载均衡、安全组、SSL 证书和自动扩缩配置。
要查看此策略的权限,请参阅《AWS 托管式策略参考》**中的 [AmazonECSInfrastructureRoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html)。
## `AmazonECSComputeServiceRolePolicy`
`AmazonECSComputeServiceRolePolicy` 策略附加到 AmazonECSComputeServiceRole 服务相关角色。有关更多信息,请参阅 [使用角色管理 Amazon ECS 托管实例](using-service-linked-roles-instances.md)。
此策略包含允许 Amazon ECS 完成以下任务的权限:
+ Amazon ECS 可以描述和删除启动模板。
+ Amazon ECS 可以描述和删除启动模板版本。
+ Amazon ECS 可以终止实例。
+ Amazon ECS 可以描述下面的实例数据参数:
+ 实例
+ 实例网络接口:Amazon ECS 可以描述以管理 EC2 实例生命周期。
+ 实例事件窗口:Amazon ECS 可以描述事件窗口信息,以确定是否可以中断工作流来修补实例。
+ 实例状态:Amazon ECS 可以描述实例状态,以便监控实例运行状况。
要查看此策略的权限,请参阅《AWS 托管式策略参考》**中的 [AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSComputeServiceRolePolicy.html)。
## `AmazonECSInstanceRolePolicyForManagedInstances`
`AmazonECSInstanceRolePolicyForManagedInstances` 策略提供 Amazon ECS 托管实例向 Amazon ECS 集群注册并与 Amazon ECS 服务通信所需的权限。
此策略包含允许 Amazon ECS 托管实例完成以下任务的权限:
+ 向 Amazon ECS 集群注册和注销。
+ 提交容器实例状态更改。
+ 提交任务状态更改。
+ 发现 Amazon ECS 代理的轮询端点。
要查看此策略的权限,请参阅《AWS 托管式策略参考》**中的 [AmazonECSInstanceRolePolicyForManagedInstances](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInstanceRolePolicyForManagedInstances.html)。
## Amazon ECS 更新为 AWS 托管策略
查看自此服务开始跟踪这些更改以来 Amazon ECS AWS 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon ECS 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 更新 `AmazonECSInfrastructureRolePolicyForManagedInstances` 策略 | `AmazonECSInfrastructureRolePolicyForManagedInstances` 策略已更新,增加了以下权限,以支持 Amazon ECS 托管实例上的容量预留:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/AmazonECS/latest/developerguide/security-iam-awsmanpol.html) | 2026 年 2 月 24 日 |
| 将权限添加到 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)。 | AmazonECSServiceRolePolicy 托管式 IAM 策略已更新为包含 ssmmessages:OpenDataChannel 权限。此权限允许 Amazon ECS 为 ECS Exec 会话打开数据通道。 | 2026 年 1 月 20 日 |
| 更新 `AmazonECSInfrastructureRolePolicyForManagedInstances` 策略 | `AmazonECSInfrastructureRolePolicyForManagedInstances` 策略已更新以修改 `CreateFleet` 权限。由于以下原因,已移除子网、安全组和 EC2 映像的基于资源的条件:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/AmazonECS/latest/developerguide/security-iam-awsmanpol.html) 此更改确保策略在缺少预期 ECS 管理标签的资源中正常运行。 | 2025 年 12 月 15 日 |
| 将权限添加到 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)。 | AmazonECSServiceRolePolicy 托管 IAM 策略已更新,新增了 Amazon EC2 权限,允许 Amazon ECS 获取与事件窗口关联的服务和集群的 Amazon EC2 事件窗口。 | 2025 年 11 月 20 日 |
| 将权限添加到 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)。 | AmazonECSServiceRolePolicy 托管 IAM 策略已更新,新增了 Amazon EC2 权限,允许 Amazon ECS 预置和取消预置任务 ENI。 | 2025 年 11 月 14 日 |
| 更新 [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity) 策略 | 更新了 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity 托管 IAM 策略,将 secretsmanager:DescribeSecret 权限分离到其自己的策略语句中。该权限继续将 Amazon ECS 访问权限限定为 Amazon ECS 创建的密钥,并使用 ARN 模式匹配而不是资源标签进行范围界定。这使得 Amazon ECS 能够在密钥的整个生命周期内监控密钥状态,包括密钥何时被删除。 | 2025 年 11 月 13 日 |
| 增加新的 [`AmazonECSInfrastructureRoleforExpressGatewayServices`](#security-iam-awsmanpol-AmazonECSInfrastructureRoleforExpressGatewayServices) | 添加了新的 AmazonECSInfrastructureRoleforExpressGatewayServices 策略,其提供 Amazon ECS 访问权限,以使用 Express Services 创建和管理 Web 应用程序。 | 2025 年 11 月 21 日 |
| 增加新的 [`AmazonECSInstanceRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInstanceRolePolicyForManagedInstances) | 添加了新的 AmazonECSInstanceRolePolicyForManagedInstances 策略,该策略为 Amazon ECS 托管实例提供向 Amazon ECS 集群注册的权限。 | 2025 年 9 月 30 日 |
| 增加新的 [`AmazonECSInfrastructureRolePolicyForManagedInstances`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForManagedInstances) | 添加了新的 AmazonECSInfrastructureRolePolicyForManagedInstances 策略,该策略为 Amazon ECS 提供创建和管理 Amazon EC2 托管资源的权限。 | 2025 年 9 月 30 日 |
| 添加新的 [AmazonECSComputeServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy) | 允许 Amazon ECS 管理您的 Amazon ECS 托管实例和相关资源。 | 2025 年 8 月 31 日 |
| 向 [AmazonEC2ContainerServiceforEC2Role](#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role) 添加权限 | AmazonEC2ContainerServiceforEC2Role 托管式 IAM 策略已更新为包含 ecs:ListTagsForResource 权限。此权限允许 Amazon ECS 代理通过任务元数据端点(\$1\$1ECS\$1CONTAINER\$1METADATA\$1URI\$1V4\$1/taskWithTags)检索任务和容器实例标签。 | 2025 年 8 月 4 日 |
| 将权限添加到 [AmazonECSInfrastructureRolePolicyForLoadBalancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers)。 | AmazonECSInfrastructureRolePolicyForLoadBalancers 托管式 IAM 策略已更新,增加了描述、取消注册和注册目标组的新权限。 | 2025 年 7 月 25 日 |
| 添加新的 [`AmazonECSInfrastructureRolePolicyForLoadBalancers`](#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForLoadBalancers) 策略 | 添加了新的 AmazonecsInfrastructureRolePolicyforLoadBalancers 策略,该策略允许访问管理与 Amazon ECS 工作负载关联的负载均衡器所需的其他 AWS 服务资源。 | 2025 年 7 月 15 日 |
| 将权限添加到 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy)。 | 更新了 AmazonECSServiceRolePolicy 托管式 IAM 策略,增加了新的 AWS Cloud Map 权限,从而让 Amazon ECS 可以为由 Amazon ECS 管理的服务更新 AWS Cloud Map 服务属性。 | 2025 年 7 月 15 日 |
| 将权限添加到 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) | 更新了 AmazonECSServiceRolePolicy 托管式 IAM 策略,增加了新的 AWS Cloud Map 权限,从而让 Amazon ECS 可以为由 Amazon ECS 管理的服务更新 AWS Cloud Map 服务属性。 | 2025 年 6 月 24 日 |
| 增加了 [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes) 的权限 | AmazonECSInfrastructureRolePolicyForVolumes 策略已更新以添加 ec2:DescribeInstances 权限。该权限有助于防止附加到在同一容器实例上运行的 Amazon ECS 任务的 Amazon EBS 卷发生设备名称冲突。 | 2025 年 6 月 2 日 |
| 添加新的 [AmazonECSInfrastructureRolePolicyForVpcLattice](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVpcLattice) | 提供代表您管理 Amazon ECS 工作负载中的 VPC Lattice 功能所需的对其他 AWS 服务资源的访问权限。 | 2024 年 11 月 18 日 |
| 增加了 [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes) 的权限 | 更新了 AmazonECSInfrastructureRolePolicyForVolumes 策略,以允许客户利用快照创建 Amazon EBS 卷。 | 2024 年 10 月 10 日 |
| 增加了 [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess) 权限 | 更新了 AmazonECS\$1FullAccess 策略,从而为名为 ecsInfrastructureRole 的角色增加了 IAM 角色的 iam:PassRole 权限。这是由 AWS 管理控制台 创建的默认 IAM 角色,该角色旨在用作 ECS 基础设施角色,从而允许 Amazon ECS 管理挂载到 ECS 任务的 Amazon EBS 卷。 | 2024 年 8 月 13 日 |
| 新增 [AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity) 策略 | 新增 AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity 策略,该策略提供对 AWS KMS、AWS 私有证书颁发机构、Secrets Manager 的管理访问权限,并使 Amazon ECS Service Connect TLS 功能能够正常工作。 | 2024 年 1 月 22 日 |
| 新增策略 [AmazonECSInfrastructureRolePolicyForVolumes](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSInfrastructureRolePolicyForVolumes) | 已添加 AmazonECSInfrastructureRolePolicyForVolumes 策略。该策略授予 Amazon ECS 进行 AWS API 调用所需的权限,以管理与 Amazon ECS 工作负载关联的 Amazon EBS 卷。 | 2024 年 1 月 11 日 |
| 将权限添加到 [AmazonECSServiceRolePolicy](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonECSServiceRolePolicy) | AmazonECSServiceRolePolicy 托管 IAM 策略已更新,增加了新的 events 权限,以及附加的 autoscaling 和 autoscaling-plans 权限。 | 2023 年 12 月 4 日 |
| 将权限添加到 [AmazonEC2ContainerServiceEventsRole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceEventsRole) | AmazonECSServiceRolePolicy 托管 IAM 策略已更新,允许访问 AWS Cloud Map DiscoverInstancesRevision API 操作。 | 2023 年 10 月 4 日 |
| 将权限添加到 [AmazonEC2ContainerServiceforEC2Role](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerServiceforEC2Role) | 修改 AmazonEC2ContainerServiceforEC2Role 策略是为了添加 ecs:TagResource 权限,其中包括一个条件,该条件将权限限制为仅限于新创建的集群和注册的容器实例。 | 2023 年 3 月 6 日 |
| 向 [AmazonECS\$1FullAccess](#security-iam-awsmanpol-AmazonECS_FullAccess) 添加权限 | 修改 AmazonECS\$1FullAccess 策略是为了添加 elasticloadbalancing:AddTags 权限,其中包括一个条件,该条件将权限限制为仅限于新创建的负载均衡器、目标组、规则和创建的侦听器。此权限不允许向任何已经创建的 Elastic Load Balancing 资源添加标签。 | 2023 年 1 月 4 日 |
| Amazon ECS 开始跟踪更改 | Amazon ECS 开始跟踪其 AWS 托管策略的更改。 | 2021 年 6 月 8 日 |